2018年の攻撃でははランサムウェアやクリプトジャッキングなどから得られる利益が減少傾向にあり、フォームジャッキングなど別の手段が登場
シマンテック マネージドセキュリティサービス 日本統括 滝口 博昭氏によれば、2018年のWeb攻撃は2017年から56%増加しているという。2018年に分析したURLの10件に1件は、悪意のあるURLとして特定している。そして2018年に増加傾向にあるのが、フォームジャッキングだ。これはATMなどにスキミング用の装置を取り付けてカード情報を盗むといったものと考え方は同じだ。
「それをバーチャルの世界で行うものです。Webサイトを攻撃し侵入して、悪意のあるスクリプトを埋め込み、カード情報などを盗みます。サイトにカード情報を入れると、正規のサイトにもその情報は送られるし、攻撃者にも送られるという仕組みです」と滝口氏。
フォームジャッキングの侵入で使われるのは、ミドルウェアなどの既知の脆弱性が多い。昔は侵入してそのサーバーやPCをボットに感染させてボットネットを作るというのがはやったが、ここ最近はこのフォームジャッキングがはやっている。シマンテックの計測ではフォームジャッキングが月に平均4,800件発生しており、シマンテックでは370万件をブロックしている。1年のうち4、5、6、11、12月に攻撃は増える傾向になる。これはサマーセールやクリスマスセールなど、Webサイトでクレジットカード情報を入力する機会が増える時期と一致する。
クリプトジャッキングは、攻撃され侵入されたサイトにユーザーがアクセスすると、アクセスしている間中クライアントのPCでコインマイニングをするというものだ。これについては「だんだん件数は減っています」と滝口氏。実際、2018年1月には800万件ほどのクリプトジャッキングをブロックしていたが、2018年末にはそれが350万件ほどになっている。この減少の傾向は、仮想通貨の価値の下がり方と一致するところがある。仮想通貨が儲からなくなったことから、クリプトジャッキングも増えていないと考えられ、今は仮想通貨の価値が今後どのように変化するかを攻撃者が様子見をしているのではという。
クリプトジャッキングの攻撃として珍しい事例もあった。南米で発生したインターネットプロバイダーのルータを攻撃したというもの。これは、キャリアのルータの中の情報を書き換えたクリプトジャッキングだったために、そのルータにつなぐキャリアのユーザーが被害に遭うことになる。つまり、多くのユーザーが知らない間に裏でコインマイニングされてしまったのだ。この例も、ルータの既知の脆弱性を狙われたものだ。プロバイダーがルータにきちんとパッチなりを当てていれば防げたと予測される。
